침해사고/위협동향

이랜드 공격한 해커조직, 카드정보 추가 유출··· 30만건 공개

이종현
클롭의 다크웹 페이지
클롭의 다크웹 페이지
[디지털데일리 이종현기자] 이랜드그룹(이하 이랜드)에 랜섬웨어 공격을 가한 해커조직 클롭(CL0P)이 11일 이랜드로부터 훔쳤다는 고객 카드정보를 추가 공개했다. 지난 3일 첫 10만건 카드정보 공개 이후 2차, 3차 정보를 공개함으로써 총 30만건의 데이터가 업로드됐다.

해커조직은 “고객 정보가 유출되지 않았다는 (이랜드의) 발표는 거짓”이라며 “이랜드는 1년 이상 데이터를 읽고 훔치는 것을 허용했다”고 말했다.

또 “내일부터 매일 10만개의 카드정보를 업로드할 예정”이라며 “해당 정보로 고객 계정으로부터 돈을 훔칠 수 있다. 이랜드가 협력을 거부하고 시스템 엔지니어들의 무능함을 인정하지 않고 있어 선택의 여지가 없다”고 전했다.

다만 해커조직의 다크웹 페이지의 다운로드 링크는 현재 ‘502 Bad Gateway’라는 오류 메시지가 뜨는 상태다. 기존에 확인 가능했던 링크에도 오류가 발생 중인데 접속자 폭주로 서버가 마비된 것으로 보인다는 것이 업계의 시각이다.

이번 공격이 실제 이랜드의 고객정보인지는 불명확하다. 이미 유출된 카드정보가 방대한 만큼 이랜드가 아닌 다른 곳에서 카드정보를 훔쳐낸 뒤 “이랜드로부터 훔쳤다”고 주장할 수 있기 때문이다.

금융위원회는 지난 7일 대국민 안내를 통해 “금융보안원·여신협회·신용카드사와 함께 공개된 카드정보에 대한 진위여부를 검증 중”이라며 “현재까지 부정사용방지시스템(FDS)를 통한 관련 이상거래는 탐지된 바 없다”고 발표했다.

이어서 9일 “다크웹에 공개된 카드정보에는 카드번호와 유효기간 등이 포함돼 있으나 온라인 결제를 위한 CVV(CVC) 정보, 비밀번호 등은 공개되지 않았고 오프라인 가맹점 카드결제시 IC카드 단말기 이용이 의무화돼 해당 정보만으로 부정사용은 곤란할 것”이라고 추가설명했다.

금융위원회 조사에 따르면 공개된 10만건 중 재발급·사용정지, 유효기간 경과 등 사용불가 카드를 제외한 유효카드 정보는 약 3만6000건이다. 이중 과거 불법유통 등이 확인된 카드정보는 2만3000건으로 출처를 알 수 없는 카드정보는 13%인 1만3000건이다. 또 9일 기준 유효카드에서 발생한 부정사용 거래는 없는 것으로 확인됐다.

추가로 업로드된 20만건이 확인될 경우 해당 정보가 실제 이랜드로부터 유출됐는지를 파악하기가 쉬워질 전망이다.

보안업계 관계자는 “앞서 유출된 10만건의 정보만으로는 이랜드로부터 훔쳤다고 확신하기 어렵다. 해커 측은 1년 동안 이랜드의 점포서 결제된 카드정보를 수집했다고 했는데, 이중 64%가 유효하지 않은 정보”라며 “36%의 유효카드 중에서도 23%는 이미 불법유통이 확인된 정보인데, 만일 이랜드서 정보를 훔친 것이 맞다면 이랜드와 협상 전에 카드정보를 불법유통한 것이 아닌가 의심스럽다”고 말했다.

이어서 그는 “추가 공개된 데이터는 서버 오류로 확인하지 못한 상태다. 만약 실제 카드정보 20만건이 더 유출됐다면 모집단이 늘어난 만큼 이랜드의 고객정보인지 진위여부를 판가름하기 수월해질 것”이라고 부연했다.

한편 카드사들은 다크웹 페이지에 공개된 카드 소유자에게 공개사실 및 재발급 안내를 한다는 방침이다. 만일 공개된 카드정보를 이용해 부정 사용이 확인될 경우 관련 법령에 따라 소비자의 피해를 금융회사가 전액 보상한다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널